ActiveX al veleno per Microsoft Windows

ActiveX al veleno per Microsoft Windows

Un controllo ActiveX vulnerabile e un exploit pubblico scoperto lo scorso venerdì stanno facendo alzare i livelli di allertra tra le società di sicurezza e Microsoft

di pubblicata il , alle 16:02 nel canale Sicurezza
MicrosoftWindows
 
Anche Novembre segnato da gravi vulnerabilità per il sistema operativo di casa Redmond. Sono infatti alcuni giorni che un nuovo exploit sta girando indisturbato per il web, complice un bug presente in un componente di Windows.

Insomma, questa volta la colpa non è del noto browser Internet Explorer, sebbene sia esso il tramite per l'infezione del pc anche nell'ultima versione 7 da poco rilasciata. La colpa è di un errore nel Microsoft XML Core Services di Windows, precisamente nel controllo ActiveX XMLHTTP 4.0. Il controllo soffre infatti di un bug in modo tale che, se viene eseguito con dei parametri invalidi, il processo in memoria viene corrotto e può essere sfruttato per eseguire del codice da remoto.

Il componente Microsoft XML Core Services permette agli sviluppatori di creare applicazioni basate su XML, utilizzando il controllo ActiveX XMLHTTP per trasmettere e ricevere i dati in formato XML attraverso il traffico HTTP. La versione 4.0 di questo componente non è installata di default con Windows XP, sebbene sia disponibile come download separato e comunque sia installato nel sistema da parecchie applicazioni.

Attualmente un utente, semplicemente navigando in un determinato sito web volutamente modificato, può rimanere infetto a causa dell'exploit pubblico. Il dipartimento per la sicurezza nazionale americana (Department of Homeland Security) ha rilasciato un bollettino per avvisare della gravità della falla, che colpisce essenzialmente i sistemi operativi Microsoft 2000/XP/2003. Microsoft, dal canto suo, sta valutando la possibilità di rilasciare un aggiornamento fuori dal ciclo mensile delle patch a causa della gravità del bug.

Attualmente è consigliato disattivare il controllo ActiveX XMLHTTP 4.0. Per fare ciò è possibile aprire il blocco note e incollare nel testo il codice seguente:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{88d969c5-f192-11d4-a65f-0040963251e5}]
"Compatibility Flags"=dword:00000400

Dopo di che salvare il file sul desktop con nome PATCH.REG. Chiudere il blocco note e fare doppio click sul file appena creato sul desktop.

In alternativa è possibile disattivare completamente i controlli ActiveX o è altresì possibile l'utilizzo di browser alternativi che non utilizzino controlli ActiveX.

Un grave bug insomma, che fa premere sempre di più l'acceleratore sul rilascio del nuovo sistema operativo, che proprio in questi giorni dovrebbe essere chiuso e pronto per essere consegnato ai produttori.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

30 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Max Power07 Novembre 2006, 16:07 #1
Che culo.
Cosimo07 Novembre 2006, 16:15 #2
Io uso firefox ... Non mi affetta
ilGraspa07 Novembre 2006, 16:17 #3
Del resto sono sempre stato scettico sull'effettiva utilità degli activeX, e questo bug stronca sul nascere la mia voglia di provare IE7
DevilsAdvocate07 Novembre 2006, 16:19 #4
Wow, una release fuori dal ciclo mensile e' cosa rara, non arriva alla
velocita' con cui hanno corretto la porpria piattaforma DRM (visto che
Secunia ha beccato questo bug venerdi' o sabato), ma comunque sarebbe
una gran bella mossa nei confronti degli utenti.....
Guitarscorpio07 Novembre 2006, 16:21 #5
Veramente ho installato questa mattina tramite Microsoft Update l'aggiornamento 925673 "MSXML 6.0 RTM Security Update" che patcha proprio una vulnerabilità del Microsoft XML Core Services.
Quindi MS non sta valutando se, ma ha già rilasciato la patch.
DevilsAdvocate07 Novembre 2006, 16:24 #6
Originariamente inviato da: Guitarscorpio
Veramente ho installato questa mattina tramite Microsoft Update l'aggiornamento 925673 "MSXML 6.0 RTM Security Update" che patcha proprio una vulnerabilità del Microsoft XML Core Services.
Quindi MS non sta valutando se, ma ha già rilasciato la patch.


Uh? Allora si son dimenticati di aggiornare la pagina dell'annuncio,
che per ora mostra solo i workaround.
Cmq per una volta tanto complimenti alla MS, meno di una settimana
per fixare un baco critico.
dsajbASSAEdsjfnsdlffd07 Novembre 2006, 17:22 #7
gli activex sono veramente una fogna purtroppo ormai se li devono tenere sul groppone.
Kralizek07 Novembre 2006, 17:47 #8
considerate che XMLHTTP viene utilizzato dalle pagine che usano AJAX :P
Pandrin200607 Novembre 2006, 18:26 #9
Un grave bug insomma, che fa premere sempre di più l'acceleratore sul rilascio del nuovo sistema operativo


che diavolo centra Windows Vista con questo bug?

IE7 usa il proprio XML interno e NON questo controllo ActiveX vulnerabile.

Tool -> Internet Options -> Advanced -> Enable native XMLHTTP support (attivo di default!)

IE7 NON è vulnerabile.
dragonheart8107 Novembre 2006, 19:02 #10
Originariamente inviato da: Cosimo
Io uso firefox ... Non mi affetta

Idem

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^